Киберполигон захват почтового сервера

Презентация по лабораторной работе №2

Щербака В.В., Захаренко А.В., Кроитору Е.

Российский университет дружбы народов, Москва, Россия

13 Марта 2025

Вводная часть

Актуальность

В современном мире кибербезопасность играет ключевую роль в защите информационных систем от атак злоумышленников. В связи с растущим числом кибератак и постоянным развитием методов взлома, организации уделяют особое внимание выявлению уязвимостей в своих сетях. Одним из эффективных способов проверки безопасности является тестирование на проникновение (penetration testing, pentest) – процесс, при котором специалисты моделируют действия потенциального злоумышленника для выявления слабых мест в системе. Одним из инструментов для проведения таких тестов является киберполигон – специализированная среда, имитирующая реальную IT-инфраструктуру, где исследуются способы защиты и атаки на системы. Киберполигоны позволяют безопасно анализировать уязвимости, отрабатывать сценарии атак и разрабатывать стратегии защиты. В данной лабораторной работе проводится тестирование безопасности инфраструктуры с использованием утилиты Nmap для сканирования сети, а также Metasploit Framework для эксплуатации уязвимостей. Особое внимание уделяется уязвимости CVE-2021-34473 (ProxyShell), связанной с почтовыми серверами Microsoft Exchange, которая позволяет злоумышленнику выполнить удаленное выполнение кода (RCE) и получить несанкционированный доступ к системе.

Цели и задачи

  • Просканировать подсеть (195.239.174.0/24) и выявить открытые порты.
  • Определить сервисы, работающие на найденных портах.
  • Использовать Metasploit для поиска возможных атак.
  • Эксплуатировать уязвимость CVE-2021-34473 (ProxyShell) для получения удаленного доступа.
  • Получить флаг, доказывающий успешную эксплуатацию.

Результаты

Результаты

  1. Просканировали подсеть 195.239.174.0/24 для поиска открытых портов, которые можно использовать для атаки на инфраструктуру. Сканирование провели с использованием утилиты nmap. (рис.2)

Результат сканирования сети

В результате сканирования на хосте 195.239.174.1 получены следующие открытые порты 25 и 443: 25 порт – стандартный порт, предназначенный для передачи электронных писем между почтовыми сервисами; 443 порт – стандартный порт для защищенной связи веб-браузера. Наличие данных портов предполагает, что на хосте 195.239.174.1 установлен почтовый сервер. В наличии почтового сервера можно убедиться по адресу https://195.239.174.1

  1. Зашли в режим разработчика, нажали правую кнопку мыши и выбрали в контекстном меню «Inspect (Q)». (рис.2 и 3)

Веб-интерфейс Exchange Server

Получение версии Exchange Server

  1. Для атаки использовали инструмент для создания, тестирования и использования exploit Metasploit. Для поиска возможных векторов атаки дальнейшее сканирование с помощью данного модуля. (рис.4)

Запуск модуля Metasploit

Ввели пароль: qwe123!@# (рис.5)

Вход с систему

Получили доступ: (рис.6)

Вход с систему

  1. Для захвата флага получили сессию с удаленным хостом 195.239.174.1 с использованием возможность RCE. Далее произвели захват флага, эксплуатируя возможность RCE двумя модулями. (рис.7)

Перечень модулей Metasploit для атаки

  1. Далее воспользовались модулем windows/http/exchange_proxyshell_rce. С помощью команды use 15 выбрали данный модуль и задали параметры lhost (IP-адрес атакующей машины) и rhosts (IP-адрес целевой системы). (рис.8)
Установка необходимых для exploit параметров

Далее запустили модуль ProxyShell и получили meterpeter сессию. В процессе эксплуатации модуля ProxyShell обнаружена и проэксплуатирована уязвимость CVE-2021 34473 – https://www.cvedetails.com/cve/CVE-2021-34473. (рис.9)

Нахождение уязвимого сервера

С использованием почты manager1@ampire.corp применили данный модуль для получения соединения с удаленным узлом. Далее задали все необходимые параметры для модуля

  1. Следующим шагом запустили эксплуатацию уязвимости ProxyLogon. (рис.10)

Процесс эксплуатации уязвимого сервера

Процесс эксплуатации уязвимого сервера

После получения сессии с почтовым сервером можно найти флаг по пути Windows.system32 в файле flag_for_red_team.txt (рис.12)

Путь к флагу

Попытались зайти снова используя use 15:(рис.13)

Проверка

Выводы

В ходе лабораторной работы было проведено тестирование на проникновение с целью выявления уязвимостей в инфраструктуре. С помощью утилиты Nmap был выполнен анализ сети, выявлены открытые порты и определены работающие сервисы. Для эксплуатации уязвимости использовался Metasploit Framework, что позволило получить удаленный доступ к системе посредством уязвимости CVE-2021-34473 (ProxyShell).

В результате успешного проведения атаки была получена Meterpreter-сессия, что дало возможность выполнить команды на удаленной системе и обнаружить флаг, подтверждающий успешную эксплуатацию. Работа продемонстрировала важность тестирования на проникновение для выявления уязвимостей и необходимости своевременного обновления программного обеспечения для предотвращения атак.